Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die Remoteaktion in Intune entfernt Unternehmensdaten von einem Gerät, ohne dass eine vollständige Zurücksetzung oder ein Zurücksetzen auf Werkseinstellungen durchgeführt wird. Diese Aktion eignet sich ideal für persönliche Geräte oder beim Übergang eines Geräts außerhalb der Kontrolle der Organisation. Es hebt die Registrierung des Geräts bei Intune auf und entfernt verwaltete Apps, Einstellungen und Profile, die über die Verwaltung mobiler Geräte (Mobile Device Management, MDM) bereitgestellt werden, während personenbezogene Daten beibehalten werden.
Im Gegensatz zur Aktion Zurücksetzen , bei der das Gerät auf die Werkseinstellungen zurückgesetzt wird, bleiben benutzerbezogene Inhalte erhalten. Die Aktion wird ausgelöst, wenn das Gerät das nächste Mal mit Intune eincheckt. Bis dahin wird das Gerät möglicherweise noch im Admin Center angezeigt. Wenn Sie ein Gerät sofort entfernen müssen, sollten Sie stattdessen die Aktion Löschen verwenden.
Vor dem Ausmustern oder Löschen eines Microsoft Entra verbundenen Geräts
Wenn Sie das Intune-Objekt für ein Microsoft Entra verbundenes Gerät löschen oder außer Betrieb nehmen, das durch BitLocker geschützt ist, löst Intune eine Synchronisierung aus, die Schlüsselschutzvorrichtungen entfernt. Durch diese Aktion wird BitLocker auf dem Betriebssystemvolume als Schutzmaßnahme angehalten, um nicht wiederherstellbare Verschlüsselungsszenarien zu verhindern, wenn das Entra-Objekt gelöscht wird.
Stellen Sie vor dem Ausmustern eines Microsoft Entra verbundenen Geräts sicher, dass Sie alle wichtigen Daten sichern, die während des Prozesses verloren gehen können, z. B.:
- BitLocker-Wiederherstellungsschlüssel
- Anmeldeinformationen für lokale Administratorkonten
Voraussetzungen
Geräteplattformanforderungen
Diese Remoteaktion unterstützt die folgenden Plattformen:
- Android-Geräteadministrator
- Persönliches Android Enterprise-Arbeitsprofil (BYOD)
- iOS/iPadOS
- macOS
- Windows
Rollenanforderungen
Verwenden Sie zum Ausführen dieser Remoteaktion ein Konto mit mindestens einer der folgenden Rollen:
- Helpdeskoperator
- Schuladministrator
- Benutzerdefinierte Rolle , die Folgendes umfasst:
- Die Berechtigung Remotetasks/Außerkraftsetzen
- Berechtigungen, die Einblick in und Zugriff auf verwaltete Geräte in Intune bieten (z. B. Organisation/Lesen, Verwaltete Geräte/Lesen)
So wird's: Außerbetriebnahme eines Geräts aus dem Intune Admin Center
- Wählen Sie im Microsoft Intune Admin CenterGeräte>Alle Geräte aus.
- Wählen Sie in der Geräteliste ein Gerät aus.
- Suchen Sie oben im Geräteübersichtsbereich die Zeile mit Remoteaktionssymbolen. Wählen Sie Außerkraftsetzen aus. Klicken Sie zum Bestätigen auf Ja.
Hinweis
Diese Remoteaktion wird möglicherweise von einer Intune Zugriffsrichtlinie gesteuert, die mehrere administrative Genehmigungen (Maa) erfordert. Wenn ja, muss ein zweiter Administrator die Aktion genehmigen, bevor sie fortgesetzt werden kann.
Weitere Informationen finden Sie unter Verwenden von Zugriffsrichtlinien zum Anfordern mehrerer administratorrechtlicher Genehmigungen.
Verwendung durch den Benutzer
Wenn Sie die Aktion Gerät abkoppeln verwenden, werden die persönlichen Daten des Benutzers nicht vom Gerät entfernt.
Die folgende Tabelle zeigt, welche Daten entfernt werden und was nach dem Anwenden der Aktion auf dem Gerät verbleibt.
| Datentyp | iOS |
|---|---|
| Von Intune installierte Unternehmens-Apps und zugehörige Daten |
Mit Unternehmensportal installierte Apps: Bei Apps, die an das Verwaltungsprofil angeheftet sind, werden alle App-Daten und die Apps entfernt. Hierzu zählen auch Apps, die ursprünglich aus dem App Store installiert und später als Unternehmens-Apps verwaltet wurden, es sei denn, die App ist so konfiguriert, dass sie bei der Geräteentfernung nicht deinstalliert wird. Microsoft-Apps, die App-Schutzrichtlinien verwenden und vom App Store installiert wurden: Intune löst eine selektive Zurücksetzung für Apps aus, die durch eine App-Schutzrichtlinie geschützt sind, wenn eine Außerbetriebnahmeaktion für ein registriertes Gerät initiiert wird. Diese Zurücksetzung schließt Apps ein, die über den App-Store installiert wurden und über Geschäfts-, Schul- oder Unikontodaten verfügen. Wenn die App das nächste Mal gestartet wird, werden die Daten des geschützten Geschäfts-, Schul- oder Unikontos durch die selektive Löschung entfernt. Damit die selektive Zurücksetzung erfolgen kann, muss zwischen den MDM-Registrierungs- und Ausmusterungsereignissen ein Check-In für die App-Schutzrichtlinie erfolgen. Personenbezogene App-Daten und die entsprechenden Apps werden bei einer selektiven Zurücksetzung nicht entfernt. |
| Einstellungen | Von der Intune-Richtlinie festgelegte Konfigurationen werden nicht mehr erzwungen. Benutzer können die Einstellungen ändern. |
| Einstellungen für WLAN- und VPN-Profil | Entfernt. |
| Zertifikatprofil-Einstellungen | Zertifikate werden entfernt und gesperrt. |
| Verwaltungsagent | Das Verwaltungsprofil wird entfernt. |
| E-Mails | E-Mail-Profile, die über Intune bereitgestellt werden, werden entfernt. Auf dem Gerät zwischengespeicherte E-Mails werden gelöscht. |
| Microsoft Entra Gerätedatensatz | Der Microsoft Entra ID-Datensatz wird nicht entfernt. |
Hinweis
Benutzer, die die Outlook Mobile-App nach einer Aktion " Gerät abkoppeln " neu installieren, müssen möglicherweise vor dem erneuten Exportieren von Kontakten die Option Alle gespeicherten Kontakte löschen auswählen, um doppelte Kontakteinträge zu vermeiden. Zuvor exportierte Kontakte aus Outlook Mobile gelten als personenbezogene Daten und werden nicht durch die Aktion Gerät abkoppeln entfernt.
Persönliche Android Enterprise-Geräte mit einem Arbeitsprofil
Beim Entfernen von Unternehmensdaten von einem Android-Gerät mit einem persönlichen Arbeitsprofil werden alle Daten, Apps und Einstellungen im Arbeitsprofil von diesem Gerät entfernt.
Android-Geräteadministrator
Wichtig
Die Verwaltung von Android-Geräteadministratoren (Android Device Administrator, DA) ist veraltet und für Geräte mit Zugriff auf Google Mobile Services (GMS) nicht mehr verfügbar. Wenn Sie derzeit die DA-Verwaltung verwenden, wird empfohlen, zu einer anderen Android-Verwaltungsoption zu wechseln. Support- und Hilfedokumentationen bleiben für einige Android 15- und frühere Geräte ohne GMS verfügbar. Weitere Informationen finden Sie unter Beenden der Unterstützung für Android-Geräteadministratoren auf GMS-Geräten.
Die folgende Tabelle zeigt, welche Daten entfernt werden und was nach dem Anwenden der Aktion auf dem Gerät verbleibt.
| Datentyp | Android | Android Samsung Knox Standard |
|---|---|---|
| Weblinks | Entfernt. | Entfernt. |
| Nicht verwaltete Google Play-Apps | Apps und Daten bleiben installiert. Daten der Unternehmensapps, die durch die Mobile Application Management (MAM)-Verschlüsselung innerhalb des lokalen Speichers der App geschützt sind, werden entfernt. Daten, die von der MAM-Verschlüsselung außerhalb der App geschützt sind, bleiben verschlüsselt und unbrauchbar, werden aber nicht entfernt. |
Apps und Daten bleiben installiert. Daten der Unternehmensapps, die durch die Mobile Application Management (MAM)-Verschlüsselung innerhalb des lokalen Speichers der App geschützt sind, werden entfernt. Daten, die von der MAM-Verschlüsselung außerhalb der App geschützt sind, bleiben verschlüsselt und unbrauchbar, werden aber nicht entfernt. |
| Nicht verwaltete Geschäftssparten-Apps | Apps und Daten bleiben installiert. | Apps werden deinstalliert, und daher werden auch die lokalen Daten der App entfernt. Daten außerhalb der App (z.B. auf einer SD-Karte) werden nicht entfernt. |
| Verwaltete Google Play-Apps | App-Daten werden entfernt. Die App wird nicht entfernt. Daten, die von der MAM-Verschlüsselung (Mobile Application Management) außerhalb der App (z.B. auf einer SD-Karte) geschützt sind, bleiben verschlüsselt und unbrauchbar, werden aber nicht entfernt. | App-Daten werden entfernt. Die App wird nicht entfernt. Daten, die von der MAM-Verschlüsselung außerhalb der App (z.B. auf einer SD-Karte) geschützt sind, bleiben verschlüsselt, werden aber nicht entfernt. |
| Nicht verwaltete Geschäftssparten-Apps | App-Daten werden entfernt. Die App wird nicht entfernt. Daten, die von der MAM-Verschlüsselung außerhalb der App (z.B. auf einer SD-Karte) geschützt sind, bleiben verschlüsselt und unbrauchbar, werden aber nicht entfernt. | App-Daten werden entfernt. Die App wird nicht entfernt. Daten, die von der MAM-Verschlüsselung außerhalb der App (z.B. auf einer SD-Karte) geschützt sind, bleiben verschlüsselt und unbrauchbar, werden aber nicht entfernt. |
| Einstellungen | Von der Intune-Richtlinie festgelegte Konfigurationen werden nicht mehr erzwungen. Benutzer können die Einstellungen ändern. | Von der Intune-Richtlinie festgelegte Konfigurationen werden nicht mehr erzwungen. Benutzer können die Einstellungen ändern. |
| Einstellungen für WLAN- und VPN-Profil | Entfernt. | Entfernt. |
| Zertifikatprofil-Einstellungen | Zertifikate werden gesperrt, aber nicht entfernt. | Zertifikate werden entfernt und gesperrt. |
| Verwaltungsagent | Die Berechtigung „Geräteadministrator“ wird gesperrt. | Die Berechtigung „Geräteadministrator“ wird gesperrt. |
| E-Mails | Nicht verfügbar (Android-Geräte unterstützen keine E-Mail-Profile) | E-Mail-Profile, die über Intune bereitgestellt werden, werden entfernt. Auf dem Gerät zwischengespeicherte E-Mails werden gelöscht. |
| Microsoft Entra Gerätedatensatz | Der Microsoft Entra ID-Datensatz wird entfernt. | Der Microsoft Entra ID-Datensatz wird entfernt. |
Die folgende Tabelle zeigt, welche Daten entfernt werden und was nach dem Anwenden der Aktion auf dem Gerät verbleibt.
| Datentyp | macOS |
|---|---|
| Einstellungen | Von der Intune-Richtlinie festgelegte Konfigurationen werden nicht mehr erzwungen. Benutzer können die Einstellungen ändern. |
| Einstellungen für WLAN- und VPN-Profil | Entfernt. |
| Zertifikatprofil-Einstellungen | Zertifikate werden entfernt und gesperrt. |
| Verwaltungsagent | Das Verwaltungsprofil wird entfernt. |
| Outlook | Wenn der bedingte Zugriff aktiviert ist, empfängt das Gerät keine neuen E-Mails. |
| Microsoft Entra Gerätedatensatz | Der Microsoft Entra ID-Datensatz wird nicht entfernt. |
Die folgende Tabelle zeigt, welche Daten entfernt werden und was nach dem Anwenden der Aktion auf dem Gerät verbleibt.
| Datentyp | Windows |
|---|---|
| Von Intune installierte Unternehmens-Apps und zugehörige Daten | - Apps werden deinstalliert -Sideloading-Schlüssel werden entfernt Microsoft 365 Apps werden nicht entfernt – Intune installierten Win32-Apps werden auf nicht registrierten Geräten nicht deinstalliert. Administratoren können Zuweisungsausnahmen verwenden, um Win32-Apps für BYOD-Geräte auszuschließen. |
| Einstellungen | Von der Intune-Richtlinie festgelegte Konfigurationen werden nicht mehr erzwungen. Benutzer können die Einstellungen ändern. |
| Einstellungen für WLAN- und VPN-Profil | Entfernt. |
| Zertifikatprofil-Einstellungen | Zertifikate werden entfernt und gesperrt. |
| E-Mails | Entfernt E-Mails, die EFS-fähig sind, einschließlich E-Mails und Anlagen in der E-Mail-App für Windows. Entfernt von Intune bereitgestellte E-Mail-Konten. |
| status Microsoft Entra beitreten | – Wenn das Gerät Microsoft Entra eingebunden ist, wird das Gerät von Microsoft Entra nicht verbunden. - Wenn das Gerät Microsoft Entra registriert ist, wird die Verbindung mit dem Geschäfts-, Schul- oder Unikonto getrennt, und die Registrierung des Geräts bei Microsoft Entra ID wird aufgehoben. |
| Microsoft Entra Gerätedatensatz | – Wenn das Gerät in Autopilot registriert ist, wird der Microsoft Entra ID Datensatz nicht entfernt. – Wenn das Gerät Microsoft Entra eingebunden ist, wird der Datensatz entfernt. – Wenn das Gerät Microsoft Entra registriert ist, wird der Datensatz entfernt. |
Bei Microsoft Entra ID verbundenen Geräten können Sie sich nach ausführung des Befehls Außerkraftsetzen nicht mit einem Microsoft Entra-Konto anmelden. Führen Sie die Schritte unter Starten Ihres PCs im abgesicherten Modus aus, um sich mit einem lokalen Administratorkonto anzumelden und wieder Zugriff auf die lokalen Daten des Benutzers zu erhalten.
Entfernen eines Geräts aus Microsoft Entra ID
Nachdem Sie die Remoteaktion auf einem Gerät aus Intune ausgeführt haben, können Sie den Datensatz auch aus Microsoft Entra ID entfernen, um ihn vollständig von der Identitätsinfrastruktur Ihres organization zu trennen. Dieser Schritt trägt dazu bei, dass das Gerät nicht mehr in Ihrem Mandanten angezeigt wird, verhindert potenzielle Verwirrung bei der Geräteinventur und verhindert, dass zugriffsberechtigungen oder veraltete Datensätze, die sich auf Compliance oder Berichterstellung auswirken könnten, bestehen bleiben.
Weitere Informationen zum Entfernen von Geräten aus Microsoft Entra ID finden Sie unter Verwalten veralteter Geräte in Microsoft Entra ID.
Entfernen eines Apple ADE-Geräts aus Apple Business Manager
Nachdem Sie die Remoteaktion auf einem Apple Automated Device Enrollment (ADE)-Gerät in Intune ausgeführt haben, müssen Sie das Gerät möglicherweise auch aus Apple Business Manager freigeben, um es vollständig aus der Kontrolle der Organisation zu entfernen.
Gehen Sie folgendermaßen vor:
- Navigieren Sie zu business.apple.com, navigieren Sie zum Abschnitt Geräte , und suchen Sie mithilfe der Seriennummer nach dem Gerät.
- Wählen Sie das Gerät aus, öffnen Sie das Menü ... und wählen Sie Aus Organisation freigeben aus.
- Bestätigen Sie die Aktion, indem Sie überprüfen, ob ich weiß, dass dies nicht rückgängig werden kann, und wählen Sie dann Weiter aus.
Hinweis
In einigen Fällen muss das iOS-Gerät mit iTunes wiederhergestellt werden, um diese Änderung anzuwenden. Weitere Anweisungen von Apple finden Sie hier.
Referenzlinks
- Microsoft Graph-API: Aktion außer Betrieb setzen
- Konfigurationsdienstanbieter (Configuration Service Provider, CSP), der zum Initiieren der Remoteaktion verwendet wird: Defender CSP